这位朋友放弃了奖金，并公布了一个严重的问题

乌云那帮人现在还被关着呢，都关押超过一年了，没任何消息

@Shura 世纪佳缘钓鱼技术好的一笔😂😂😂

白帽没有任何损失，大疆丢人又输球。哪里是双输？

@imnpc 单纯报个漏洞是没问题的，但是如果有下面的问题就容易进去
1.大量的获取用户数据
2.厂商没修复，就对外披露细节
3.没有点到为止，继续深入了
如果某云指的是阿里云是有官方的两个渠道报送的，一个是先知一个就是阿里的 SRC
乌云那个进去的不是 sqlmap 没刹住碰到了用户数据，就是原本就是有恶意行为感觉可能暴露了就想去提交乌云洗白
要是报告漏洞就抓进去……那我都提交了十几家 SRC 了也没人来查我水表

@md5 乌云还存在么？

@f2f2f 我们是中国人，有我们自己的风俗习惯和江湖规矩，别动不动就欧美那套迂腐的价值观和思维方式。

DJI 这法务有趣。人家不用这个私钥登录一下怎么知道这个能不能用，是不是真实的。人家一登录，那又是"非法入侵"…… 这还报个屁的漏洞啊。

几天前看了他半天 blog 没看懂...法务的太难理解

国内公司都这 b 样，已经习惯了

@radiolover 吸吸，这句话还真是熟悉。中国怎么样只有中国人知道，外国人不要指手画脚。

小哥真够小心的，签字前会找律师看。

> I of course still needed to have a lawyer review the terms, even if they were DJI ’ s final offer. In the days following
no less than 4 lawyers told me in various ways that the agreement was not only extremely risky, but was likely crafted in bad faith to silence anyone that signed it.

@sammo 那小哥也浪费了很多时间精力了，按正常时薪算也是一笔钱，另外还要花钱请律师看文件，最后还要坏了心情生气。

帖个旧文：《关于“白帽子”的法律和道理》 https://weibo.com/ttarticle/p/show?id=2309403990297423046605

这些企业可以出来卖，你们可以当恩客，但你们不能说出来。

@u5f20u98de 那要是碰了数据的，是不是永远不能主动提交了啊。T_T

dji 一个硬件公司强行互联网，漏洞多得一批我会乱说吗...... 然而乌云之后，还给国内公司报漏洞的，智力怕是<μ-3σ。这也还好人家是在国外，操作起来没那么方便，最多浪费点时间。
中国有句古话，（）才是坠吼的。作为个人，实在没必要去和大公司法务这种阴险的部门搅在一起。

@crab 不是故意的大量的数据也碰不到吧？比如发现 SQL 注入就跑个表名或者库名就打住，越权的漏洞弄个十几条意思意思，真到要判刑对与一般单位起码都是几百条的这个数量级。还有对与没有 SRC 的企业不要乱碰，有 SRC 的按着他们的规矩来，闷声发大财才是最好的。

3 万刀买个特斯拉 model x。。。

把全部把数据导下来黑市倒卖怎么也不止这点钱啊，闷声发财得了，又不是不知道国内这些企业的德性

@Shura 你理解的很好，那就按你理解来吧。反正给别人观点添油加醋这种事在 v2 也见多不怪